本文探讨了Java序列化中的一些高级概念,包括:序列化ID一致性对于对象跨网络传输的重要性,静态变量在序列化时不被保存,以及如何通过自定义`writeObject`和`readObject`方法实现敏感字段加密,以保护数据安全。通过具体的代码示例和情景分析,展示了Java序列化机制的存储规则以及可能遇到的问题,帮助开发者更好地理解和应用Java序列化技术。
将 Java 对象序列化为二进制文件的 Java 序列化技术是 Java 系列技术中一个较为重要的技术点,在大部分情况下,开发人员只需要了解被序列化的类需要实现 Serializable 接口,使用 ObjectInputStream 和 ObjectOutputStream 进行对象的读写。然而在有些情况下,光知道这些还远远不够,文章列举了笔者遇到的一些真实情境,它们与 Java 序列化相关,通过分析情境出现的原因,使读者轻松牢记 Java 序列化中的一些高级认识。
序列化 ID 问题
情境:两个客户端 A 和 B 试图通过网络传递对象数据,A 端将对象 C 序列化为二进制数据再传给 B,B 反序列化得到 C。
问题:C 对象的全类路径假设为 com.inout.Test,在 A 和 B 端都有这么一个类文件,功能代码完全一致。也都实现了 Serializable 接口,但是反序列化时总是提示不成功。
解决:虚拟机是否允许反序列化,不仅取决于类路径和功能代码是否一致,一个非常重要的一点是两个类的序列化 ID 是否一致(就是 private static final long serialVersionUID = 1L)。清单 1 中,虽然两个类的功能代码完全一致,但是序列化 ID 不同,他们无法相互序列化和反序列化。
清单 1. 相同功能代码不同序列化 ID 的类对比
package com.inout;
import java.io.Serializable;public classA implements Serializable {private static final long serialVersionUID = 1L;privateString name;publicString getName()
{returnname;
}public voidsetName(String name)
{this.name =name;
}
}
package com.inout;
import java.io.Serializable;public classA implements Serializable {private static final long serialVersionUID = 2L;privateString name;publicString getName()
{returnname;
}public voidsetName(String name)
{this.name =name;
}
}
序列化 ID 在 Eclipse 下提供了两种生成策略,一个是固定的 1L,一个是随机生成一个不重复的 long 类型数据(实际上是使用 JDK 工具生成),在这里有一个建议,如果没有特殊需求,就是用默认的 1L 就可以,这样可以确保代码一致时反序列化成功。那么随机生成的序列化 ID 有什么作用呢,有些时候,通过改变序列化 ID 可以用来限制某些用户的使用。
最低0.47元/天 解锁文章
21万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
